지난 9월, MS 오피스 RTF(Rich Text File Format) 파일로 위장한 악성코드가 발견되었다. 해당 악성코드는 공격자의 원격 명령에 의해 임의의 코드를 실행할 수 있다. 이 악성 RTF 파일이 실행되면 [그림 1]의 오른쪽과 같은 콘텐츠가 나타나며, 이와 동시에 백그라운드에서는 취약점을 이용한 추가 악성 파일이 내려받고 실행된다.

이 과정에서 내려받은 .hta 파일은 [그림 2]와 같이 mshta.exe를 통해 실행된다.

실행된 .hta 파일은 [그림 3]와 같이 파워쉘 명령을 통해 최종 실행 파일을 다운로드하고 실행한다.

이렇게 파워쉘 명령을 통해 실행되는 최종 파일은 [그림 4]와 같이 크롬 브라우저로 위장하고 있따. 크롬으로 위장한 파일은 자기 자신을 복사하고 특정 경로에 자신을 등록하여 컴퓨터가 시작될 때 마다 자동 실행된다

자가 복사와 자동 실행 등록까지 마친 악성 파일은 C&C 서버와 접속을 시도하는데, 공격자의 추가 명령에 따라 악의적인 행위를 수행할 수 있다. 

V3 제품군은 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명> 

- RTF/Cve-2017-8759 

- Trojan/Win32.Agent 

CVE-2017-8759 취약점을 이용한 공격이 계속되는 만큼 닷넷 프레임워크(.NET Framework)가 설치된 시스템은 반드시 해당 보안 업데이트를 적용해야 한다. 해당 취약점에 영향을 받는 시스템 및 관련 패치 등 보다 자세한 내용은 아래 MS 보안 업데이트 웹사이트에서 확인할 수 있다.

▶ MS 보안 업데이트 페이지 바로가기 

또한 이번 사례를 통해서 알 수 있듯이 알려진 취약점을 이용한 악성코드 공격이 계속되는 만큼 안전한 컴퓨터 이용을 위해 운영체제(OS)와 주요 애플리케이션의 보안 패치를 신속히 적용하는 습관이 필요하다.

                                                                            AhnLab ASEC대응팀 제공